米国 GAO クラウドセキュリティ: 選択された省庁は主要なプラクティスを完全に実装する必要がある (2023.05.18)

こんにちは、丸山満彦です。

GAOが4つの省庁（農務省、国土安全保障省（DHS）、労働省、財務省）の、15の主要なクラウドセキュリティ対策について、6つの重要なプラクティスに対して調査をして、その結果を公開しています。。

６つのプラクティス

Defined security responsibilities	セキュリティ責任の明確化
Documented ICAM policies and procedures	ICAMポリシーと手順の文書化
Implemented continuous monitoring	継続的な監視の実装
Defined security metrics in a SLA	SLAによるセキュリティ指標の定義
Addressed FedRAMP requirements	FedRAMPの要件への対応
Documented procedures for incident response and recovery	インシデント対応と復旧の手順の文書化

 

35の勧告（農務省7、DHS9、労働省9、財務省10）がだされています。。。

DHS長官は同意しています、農務省、労働省、財務省の長官は、同意とも不同意ともいっていないようですね。。。（今のところ...）

 

⚫︎ U.S. GAO

・2023.05.18 Cloud Security:Selected Agencies Need to Fully Implement Key Practices

GAO-23-105482

Cloud Security:Selected Agencies Need to Fully Implement Key Practices	クラウドセキュリティ: 選択された省庁は主要なプラクティスを完全に実装する必要がある。
Fast Facts	概要
Cloud services—on-demand access to shared resources such as networks, servers, and data storage—can help federal agencies deliver better IT services for less money. But without effective security measures, these services can make agencies vulnerable to risks such as cyberattacks.	クラウドサービスは、ネットワーク、サーバー、データストレージなどの共有リソースにオンデマンドでアクセスできるため、連邦政府機関がより少ないコストでより優れたITサービスを提供するのに役立つ。しかし、効果的なセキュリティ対策がなければ、これらのサービスは、サイバー攻撃などのリスクに対して連邦政府機関を脆弱にする可能性がある。
We looked at how four agencies implemented key cloud security practices—like having a plan to respond to incidents. While the agencies implemented some of the security practices, none of them fully implemented all of the practices for their systems.	私たちは、4つの省庁が、インシデントに対応するための計画など、主要なクラウドセキュリティ対策をどのように実施しているかを調べました。各省庁はいくつかのセキュリティ対策を実施していましたが、すべての対策を完全に実施している省庁はなかった。
We made 35 recommendations to the agencies to fully implement key cloud security practices.	我々は、主要なクラウドセキュリティの実践を完全に実施するために、各省庁に対して35の勧告を行った。
Highlights	ハイライト
What GAO Found	GAOが発見したこと
The four selected agencies—the Departments of Agriculture, Homeland Security (DHS), Labor, and the Treasury—varied in their efforts to implement the six key cloud security practices that GAO evaluated. Specifically, three agencies fully implemented three practices for most or all of their selected systems, while another agency fully implemented four practices for most or all of its systems. However, the agencies partially implemented or did not implement the other practices for the remaining systems (see figure).	選択された4つの省庁（農務省、国土安全保障省（DHS）、労働省、財務省）は、GAOが評価した6つの主要なクラウドセキュリティ対策を実施するための取り組みにばらつきがあった。具体的には、3つの省庁が選択したシステムのほとんどまたはすべてに対して3つのプラクティスを完全に実施し、別の省庁はそのシステムのほとんどまたはすべてに対して4つのプラクティスを完全に実施した。しかし、各省庁は残りのシステムに対して、その他のプラクティスを部分的に実施するか、実施していなかった（図参照）。
Agencies' Implementation of the Key Cloud Security Practices for Each of the Selected Systems	選択した各システムに対するクラウドセキュリティの主要なプラクティスの各省庁の実施状況
For example, the agencies partially implemented the practice regarding continuous monitoring for some or all of the systems. Although the agencies developed a plan for continuous monitoring, they did not always implement their plans. In addition, agencies partially implemented or did not implement the practice regarding service level agreements for some of the systems. Specifically, agencies' service level agreements did not consistently define performance metrics, including how they would be measured, and the enforcement mechanisms.	例えば、各省庁は、一部またはすべてのシステムに対して、継続的な監視に関するプラクティスを部分的に実施した。各省庁は、継続的な監視のための計画を策定したものの、必ずしもその計画を実行していたわけではない。また、一部のシステムにおいて、サービスレベル契約に関する慣行が部分的に実施されているか、実施されていない。具体的には、各省庁のサービスレベル契約は、測定方法、実施方法など、パフォーマンス指標を一貫して定義していなかった。
Agency officials cited several reasons for their varied implementation of the key practices, including acknowledging that they had not documented their efforts to address the requirements. Until these agencies fully implement the cloud security key practices identified in federal policies and guidance, the confidentiality, integrity, and availability of agency information contained in these cloud systems is at increased risk.	省庁の担当者は、要件に対処するための努力を文書化していないことを認めるなど、主要なプラクティスの実施がばらばらである理由をいくつか挙げている。これらの省庁が、連邦政府の政策やガイダンスで特定されたクラウドセキュリティの重要な実践を完全に実施するまで、これらのクラウドシステムに含まれる省庁の情報の機密性、完全性、および可用性が危険にさらされることになる。
Why GAO Did This Study	GAOがこの調査を行った理由
Cloud computing provides agencies with potential opportunities to obtain IT services more efficiently; however, if not effectively implemented, it also poses cybersecurity risks. To facilitate the adoption and use of cloud services, the Office of Management and Budget and other federal agencies have issued policies and guidance on key practices that agencies are to implement to ensure the security of agency systems that leverage cloud services (i.e., cloud systems).	クラウドコンピューティングは、ITサービスをより効率的に得るための潜在的な機会を省庁に提供するが、効果的に実施されない場合、サイバーセキュリティ上のリスクももたらす。クラウドサービスの導入と利用を促進するため、行政管理予算局とその他の連邦省庁は、クラウドサービスを活用する省庁システム（すなわち、クラウドシステム）のセキュリティを確保するために省庁が実施すべき主要な実務に関する方針とガイダンスを発表した。
This report evaluates the extent to which selected agencies have effectively implemented key cloud security practices. To do so, GAO selected 15 cloud systems across four agencies (Agriculture, DHS, Labor, and Treasury), representing a broad range of services. GAO selected these agencies based on several factors, including the number of reported IT investments leveraging cloud computing. GAO compared relevant agency documentation against six key practices identified in federal policies and guidance. GAO rated each agency as having fully, partially, or not implemented each practice for the selected systems.	本報告書では、選択した省庁がクラウドセキュリティの主要な実践をどの程度効果的に行っているかを評価する。そのために、GAOは4つの省庁（農務省、DHS、労働省、財務省）において、幅広いサービスを代表する15のクラウドシステムを選択した。GAOは、クラウドコンピューティングを活用したIT投資の報告数など、いくつかの要因に基づいてこれらの省庁を選択した。GAOは、連邦政府の政策やガイダンスで特定された6つの重要なプラクティスに対して、関連する省庁の文書を比較した。GAOは、各省庁が選択したシステムに対して、各実践を完全に実施している、部分的に実施している、または実施していないと評価した。
Recommendations	勧告
GAO is making 35 recommendations to four agencies to fully implement key cloud security practices. DHS concurred with the recommendations. Agriculture, Labor, and Treasury neither agreed nor disagreed with the recommendations. DHS, Labor, and Treasury described actions taken or planned to address the recommendations.	GAOは、主要なクラウドセキュリティの実践を完全に実施するために、4つの省庁に対して35の勧告を行っている。DHSは勧告に同意した。農務省、労働省、財務省は、勧告に同意も反対もしなかった。DHS、労働省、財務省は、勧告に対処するために実施または計画された措置を説明した。
Department of Agriculture	農務省
The Secretary of Agriculture should ensure that the agency fully documents the access authorizations for its selected PaaS system. (Recommendation 1)	農務省長官は、同省が選択した PaaS システムのアクセス権限を完全に文書化することを確実にすべきである。(勧告1)
The Secretary of Agriculture should ensure that the agency fully implements continuous monitoring for its selected PaaS system, to include reviewing the continuous monitoring deliverables from the CSP and committing to a time frame to review audit logs. (Recommendation 2)	農務省長官は、同省が選択した PaaS システムについて、CSP からの継続的な監視の成果物のレビューと、監査ログをレビューする時間枠を約束することを含め、同省が継続的な監視を完全に実施することを確実にすべきである。(勧告2)
The Secretary of Agriculture should ensure that the agency fully implements continuous monitoring for its selected SaaS system 1, to include reviewing the continuous monitoring deliverables from the CSP and committing to a time frame to review audit logs. (Recommendation 3)	農務省長官は、同省が選択した SaaS システム 1 について、CSP からの継続的な監視の成果物のレビューと、監査ログをレビューする時間枠を約束することを含め、同省が継続的な監視を完全に実施することを確実にすべきである。(勧告3)
The Secretary of Agriculture should ensure that the agency fully implements continuous monitoring for its selected SaaS system 2, to include reviewing the continuous monitoring deliverables from the CSP. (Recommendation 4)	農務省長官は、同省が選択した SaaS システム 2 について、CSP からの継続的な監視の成果物のレビューを含め、同省が継続的な監視を完全に実施することを確実にすべきである。(勧告4)
The Secretary of Agriculture should ensure that the agency's service level agreements with CSPs define performance metrics, including how they are measured and the enforcement mechanisms. (Recommendation 5)	農務省長官は、CSP とのサービスレベル契約において、パフォーマンス指標の定義（測定方法と実施メカニズムを含む）を確実にすべきである。(勧告5)
The Secretary of Agriculture should ensure that the agency provides the authorization letter to the FedRAMP PMO for its selected SaaS system 2. (Recommendation 6)	農務省長官は、同省が選択した SaaS システム 2 について、FedRAMP PMO に認可書を提供することを確実にすべきである。(勧告6)
The Secretary of Agriculture should ensure that the agency's contracts with CSPs include requirements for the service providers to comply with FedRAMP security authorization requirements. (Recommendation 7)	農務省長官は、同省と CSP との契約に、サービスプロバイダが FedRAMP のセキュリティ認証要件を遵守するための要件が含まれていることを確実にすべきである。(勧告7)
Department of Homeland Security	国土安全保障省
The Secretary of Homeland Security should ensure that the agency fully implements continuous monitoring for its selected SaaS system 2, to include implementing its plans for continuous monitoring of the security controls that are the agency's responsibility. (Recommendation 8)	国土安全保障省長官は、同省が選択したSaaSシステム2について、同省の責任であるセキュリティコントロールの継続的な監視のための計画の実施を含む、継続的な監視を完全に実施することを確実にすべきである。(勧告8)
The Secretary of Homeland Security should ensure that the agency fully implements continuous monitoring for its selected IaaS system, to include performing a regular review of the continuous monitoring deliverables from the CSP. (Recommendation 9)	国土安全保障省長官は、同省が選択した IaaS システムの継続的な監視を完全に実施することを確実にすべきであり、これには CSP からの継続的な監視の成果物の定期的なレビューの実施も含まれる。(勧告9)
The Secretary of Homeland Security should ensure that the agency fully implements continuous monitoring for its selected PaaS system, to include implementing its process to review the continuous monitoring deliverables from the CSP. (Recommendation 10)	国土安全保障省長官は、同省が選択した PaaS システムについて、継続的な監視を完全に実施することを確実にすべきであり、これには、CSP からの継続的な監視の成果物をレビューするプロセスの実施を含む。(勧告10)
The Secretary of Homeland Security should ensure that the agency fully implements continuous monitoring for its selected SaaS system 1, to include implementing its process to review the continuous monitoring deliverables from the CSP. (Recommendation 11)	国土安全保障省長官は、同省が選択した SaaS システムの継続的な監視を完全に実施し、CSP からの継続的な監視の成果物をレビューするプロセスを実施することを確実にすべきである。(勧告11)
The Secretary of Homeland Security should ensure that the agency's service level agreements with CSPs define performance metrics, including how they are measured and the enforcement mechanisms. (Recommendation 12)	国土安全保障省長官は、CSP とのサービスレベル契約において、パフォーマンス指標（測定方法と実施メカニズムを含む）を確実に定義する必要がある。(勧告12)
The Secretary of Homeland Security should ensure that the agency fully implements the FedRAMP requirements for its selected IaaS system, to include issuing an authorization for the CSP and providing an authorization letter to the FedRAMP PMO. (Recommendation 13)	国土安全保障省長官は、同省が選択した IaaS システムの FedRAMP 要件を完全に実施し、CSP に対する認可の発行と FedRAMP PMO への認可書の提出を確実にすべきである。(勧告13)
The Secretary of Homeland Security should ensure that the agency fully implements the FedRAMP requirements for its selected PaaS system, to include issuing an authorization for the cloud service. (Recommendation 14)	国土安全保障省長官は、同省が選択した PaaS システムの FedRAMP 要件を完全に実施し、クラウドサービスに対する認可を発行することを確実にすべきである。(勧告14)
The Secretary of Homeland Security should ensure that the agency fully implements the FedRAMP requirements for its selected SaaS system 2, to include issuing an authorization for the cloud service. (Recommendation 15)	国土安全保障省長官は、同省が選択した SaaS システム 2 の FedRAMP 要件を完全に実施し、クラウドサービスに対する認可を発行することを確実にすべきである。(勧告15)
The Secretary of Homeland Security should ensure that the agency's contracts with CSPs include requirements for the service providers to comply with security authorization FedRAMP requirements. (Recommendation 16)	国土安全保障省長官は、同省とCSPとの契約に、サービスプロバイダーがセキュリティ認可のFedRAMP要件を遵守するための要件が含まれていることを確実にすべきである。(勧告16)
Department of Labor	労働省
The Secretary of Labor should ensure that the agency fully implements continuous monitoring for its selected IaaS system, to include implementing its plans for continuous monitoring of the security controls that are the agency's responsibility. (Recommendation 17)	労働省長官は、同省が選択したIaaSシステムについて、同省の責任であるセキュリティ制御の継続的な監視のための計画の実施を含む、継続的な監視を完全に実施することを確実にすべきである。(勧告17)
The Secretary of Labor should ensure that the agency fully implements continuous monitoring for its selected PaaS system, to include reviewing the continuous monitoring deliverables from the CSP. (Recommendation 18)	労働省長官は、同省が選択した PaaS システムについて、CSP からの継続的な監視の成果物のレビューを含め、継続的な監視を完全に実施することを確実にすべきである。(勧告18)
The Secretary of Labor should ensure that the agency's service level agreements with CSPs define performance metrics, including how they are measured and the enforcement mechanisms. (Recommendation 19)	労働省長官は、CSP とのサービスレベル契約において、パフォーマンス指標の定義（測定方法、実施メカニズムなど）を確実にすべきである。(勧告19)
The Secretary of Labor should ensure that the agency fully implements the FedRAMP requirements, to include performing a review and risk analysis of the CSPs' FedRAMP security packages for its selected IaaS system. (Recommendation 20)	労働省長官は、同省が FedRAMP 要件を完全に実施し、選択した IaaS システムに対する CSP の FedRAMP セキュリティパッケージのレビューとリスク分析の実施を確実にすべきである。(勧告20)
The Secretary of Labor should ensure that the agency fully implements the FedRAMP requirements, to include issuing an authorization for the cloud service for its selected PaaS system. (Recommendation 21)	労働省長官は、同省がFedRAMP要件を完全に実施し、選択したPaaSシステムに対してクラウドサービスの認可を発行することを確実にすべきである。(勧告21)
The Secretary of Labor should ensure that the agency fully implements the FedRAMP requirements, to include issuing an authorization for the cloud service for its selected SaaS system 1. (Recommendation 22)	労働省長官は、同省がFedRAMP要件を完全に実施し、選択したSaaSシステム1に対してクラウドサービスの認可を発行することを確実にすべきである。(勧告22)
The Secretary of Labor should ensure that the agency fully implements the FedRAMP requirements, to include issuing an authorization for each of the cloud services and performing a review and risk analysis of the CSPs' FedRAMP security packages for its selected SaaS system 2. (Recommendation 23)	労働省長官は、同省が選択した SaaS システム 2 について、各クラウドサービスに対する認可の発行、および CSP の FedRAMP セキュリティパッケージのレビューとリスク分析の実施を含む、FedRAMP 要件を完全に実施することを確実にすべきである。(勧告23)
The Secretary of Labor should ensure that the agency provides authorization letters to the FedRAMP PMO upon issuance of the authorization. (Recommendation 24)	労働省長官は、認可の発行時に認可書を FedRAMP PMO に提供することを確実にすべきである。(勧告24)
The Secretary of Labor should ensure that the agency's contracts with CSPs include requirements for the service providers to comply with FedRAMP security authorization requirements. (Recommendation 25)	労働省長官は、同省とCSPとの契約に、サービスプロバイダーがFedRAMPセキュリティ認可要件を遵守するための要件が含まれていることを確実にすべきである。(勧告25)
Department of the Treasury	財務省
The Secretary of the Treasury should commit to a date for completing efforts to define the delineation of security responsibilities between the agency and the CSP for its selected SaaS system 2. (Recommendation 26)	財務省長官は、同省が選択したSaaS システム 2 について、同省と CSP との間のセキュリティ責任の分担を定義する取り組みを完了する期日を約束すべきである。(勧告26)
The Secretary of the Treasury should ensure that the agency commits to a time frame for when it plans to require the use of multifactor authentication for its selected SaaS system 1, and implements the plan. (Recommendation 27)	財務省長官は、同省が選択したSaaSシステム1について、多要素認証の使用を義務付ける予定の時期を確約し、その計画を実施することを確実にすべきである。(勧告27)
The Secretary of the Treasury should ensure that the agency fully implements continuous monitoring for its selected PaaS system, to include implementing its plans for continuous monitoring of the security controls that are the agency's responsibility and reviewing the continuous monitoring deliverables from the CSP. (Recommendation 28)	財務省長官は、同省が選択した PaaS システムの継続的な監視を完全に実施することを確実にすべきである。これには、同省の責任となるセキュリティ管理の継続的な監視のための計画の実施、及び CSP からの継続的な監視の成果物のレビューが含まれる。(勧告28)
The Secretary of the Treasury should ensure that the agency fully implements continuous monitoring for its selected SaaS system 2, to include implementing its plans for continuous monitoring of the security controls that are the agency's responsibility and documenting the use of vulnerability management procedures and tools to monitor the agency's cloud infrastructure. (Recommendation 29)	財務省長官は、同省が選択したSaaSシステム2に対する継続的な監視を完全に実施することを確実にすべきである。これには、同省の責任であるセキュリティ管理の継続的な監視のための計画の実施、同省のクラウド基盤を監視するための脆弱性管理手順及びツールの使用の文書化などを含む。(勧告29)
The Secretary of the Treasury should ensure that the agency fully implements continuous monitoring for its selected SaaS system 1, to include reviewing the continuous monitoring deliverables from the CSP. (Recommendation 30)	財務省長官は、同省が選択したSaaSシステム1について、CSPからの継続的監視の成果物のレビューを含め、同省が継続的監視を完全に実施することを確実にすべきである。(勧告30)
The Secretary of the Treasury should ensure that the agency's service level agreements with CSPs define the enforcement mechanisms. (Recommendation 31)	財務省長官は、CSP とのサービスレベル契約において、同省が強制的な仕組みを定義していることを確実にすべきある。(勧告31)
The Secretary of the Treasury should ensure that the agency fully implements the FedRAMP requirements, to include performing a review and risk analysis of the CSPs' FedRAMP security packages for its selected SaaS system 1. (Recommendation 32)	財務省長官は、同省が FedRAMP 要件を完全に実施することを確実にすべきである。これには、選択した SaaS システム 1 に対する CSP の FedRAMP セキュリティパッケージのレビューとリスク分析の実行を含む。(勧告32)
The Secretary of the Treasury should ensure that the agency's contracts with CSPs include requirements for the service providers to comply with FedRAMP security authorization requirements. (Recommendation 33)	財務省長官は、同省とCSPとの契約に、サービスプロバイダーがFedRAMPセキュリティ認証要件を遵守するための要件が含まれていることを確実にすべきである。(勧告33)
The Secretary of the Treasury should ensure that the agency fully documents its procedures for responding to and recovering from security and privacy incidents for its SaaS system 1. (Recommendation 34)	財務省長官は、同省が選択したSaaSシステム1について、セキュリティ及びプライバシーインシデントへの対応及び回復のための手順を完全に文書化することを確実にすべきである。(勧告34)
The Secretary of the Treasury should ensure that the agency fully documents its procedures for responding to and recovering from security and privacy incidents for its SaaS system 2. (Recommendation 35)	財務省長官は、同省が選択したSaaSシステム2について、セキュリティ及びプライバシーインシデントへの対応及び回復のための手順を完全に文書化することを確実にすべきである。(勧告35)

 

・[PDF] Highlights

 

・[PDF] Full Report

 

---

 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.05 米国 GAO 高リスクシリーズ 2023 すべての分野に完全に対応するためには、進捗を達成するための努力の維持と拡大が必要である (2023.04.20)

・2023.04.08 米国 GAO 意見募集 監査基準書 （イエローブック）2023年版 ドラフト (2023.01.30)

・2023.02.10 米国 GAO サイバーセキュリティ高リスクシリーズ

・2023.01.02 米国 GAO 情報技術・サイバーセキュリティ:スコアカードの進化は各機関の進捗を監視する上で引き続き重要 (2022.12.15)

・2022.12.31 米国 GAO 軍サイバー人材：兵役義務ガイダンスとデータ追跡を改善する機会の存在 (2022.12.21)

・2022.10.09 米国 GAO ランサムウェア：連邦政府機関は有用な支援を提供しているが、協力体制を改善することができる

・2022.09.27 米国 GAO 遠隔医療：監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動

・2022.09.26 米国 GAO 情報環境：DODの国家安全保障ミッションに対する機会および脅威 (2022.09.21)

・2022.09.26 米国 GAO 核兵器のサイバーセキュリティ：NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ：省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.07.10 米国 GAO 顔認識技術：連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.06.25 米国 GAO 来年度 (FY23) の予算要求額は8億1,030万ドル（約1兆700億円）サイバーセキュリティも強化項目

・2022.06.02 米国 GAO 消費者保護：議会は消費者ランク付けに使用されるスコアに関する保護の強化を検討すべき (2022.05.26)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.03 米国 GAO 自らのプライバシープログラムを改善し、データ保護の強化をしなければならない by GAOの内部監査部門

・2022.03.29 米国 GAO ブロックチェーン：新たな技術がもたらす利点と課題

・2022.03.29 米国 GAO 2022-2027の戦略計画 (2022.03.15)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.02.11 米国 GAO 重要インフラ保護：各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある

・2022.02.10 米国 GAOブログ ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化

・2022.01.17 米国 GAO サイバーセキュリティ：SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.07 米国 GAO サイバーセキュリティ：国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

・2021.08.27 米国 GAO 顔認識技術：連邦政府機関による現在および計画中の使用方法

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.05.27 U.S. GAO 連邦政府はサプライチェーンリスクを管理するための勧告に従ってね。。。

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇？

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.05.02 100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル（約820億円）サイバーセキュリティ監査能力の強化

・2021.04.17 U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル（11兆円）以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

・2021.04.01 GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・

・2021.03.26 U.S. GAO 電力網サイバーセキュリティ：エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

・2021.03.25 U.S. GAO High-Riskシリーズ：連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。（CISAも同意済み）

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 （サイバーセキュリティはリスクが高まっているという評価のようです...）

・2021.02.22 U.S. GAOが技術評価ハンドブックを公表していますね

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.12.02 U.S. GAO 医療における人工知能：患者ケアを強化する技術の利点と課題

・2020.12.02 U.S. GAO 5Gネット ークの機能と課題 @2020.11.19

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements